Recientemente nos reunimos para entrevistar a un líder intelectual en gestión de riesgos de terceros con el objetivo de comprender cómo ven ellos los riesgos de terceros en el contexto de otras consideraciones de seguridad y riesgo. En este blog, este CISO ofrece su perspectiva sobre lo que se necesita para crear un programa sostenible de gestión de riesgos de terceros. Debido a las opiniones aquí expresadas y a que el riesgo y la seguridad son temas delicados, este CISO pidió que no se utilizaran su nombre ni el de su empresa.
¿Cómo ha evolucionado la gestión de riesgos de terceros? ¿Cómo ha afectado eso a su superficie de riesgo global?
Lo que hemos visto en los últimos 10-15 años es que, gracias a la digitalización, los ecosistemas se han expandido rápidamente para incluir a más terceros. En el pasado, estos proporcionaban bienes y servicios in situ. Pero ahora, el modelo ha cambiado para ser más «como un servicio» en la nube, lo que aumenta la exposición al riesgo. Al final, se acaba cediendo un poco de control en nombre de la experiencia y la reducción de costes. Pero hay que tener cuidado y no caer en la trampa: externalizar el riesgo no significa necesariamente externalizar la responsabilidad.
¿Cuál es el mayor reto al que se enfrenta a la hora de evaluar a sus proveedores y otros terceros?
Lo que busco es que mis terceros se adhieran a los mismos principios que yo, lo cual rara vez ocurre. El problema está en el alcance. Responden a una pregunta en su cuestionario de evaluación de riesgos, pero no responden a la pregunta dentro del alcance. Por ejemplo, cuando le pregunto a un tercero si encripta los datos «en movimiento y en reposo» y me responde «sí», ahí se acaba todo. Se necesita un esfuerzo mucho mayor y un contexto más amplio que esa simple pregunta para llegar al fondo del asunto, y es difícil de validar. Eso no es escalable.
Hablando de validación, ¿qué hay de las medidas externas para validar si los controles están en vigor?
Depende. Si te refieres a las herramientas de escaneo y puntuación, creo que suelen ser erróneas. Todas ellas producen datos diferentes sin contexto ni transparencia. Todo es «receta secreta».
¿Qué tipo de informes debe presentar a la junta directiva? ¿Qué es lo que les interesa?
Esto variará según la organización, pero se trata de encontrar el equilibrio entre lo que usted quiere que les importe y lo que realmente les importa. Aborde todas las conversaciones a nivel directivo desde un punto de vista empresarial, identificando dónde están los riesgos para la empresa, no el riesgo de seguridad o el incidente en sí, sino cuáles son las implicaciones reales de ese riesgo o incidente.
El problema es que sigue habiendo una gran brecha entre lo que realmente es el riesgo y cómo comunicarlo de manera significativa. Ese problema tiene su origen en la responsabilidad; conceptualmente, no es diferente de lo que ocurre con la información financiera. Hay que aplicar el mismo rigor y enfoque a la información sobre riesgos de seguridad que al riesgo financiero. Creo que la mayoría de los consejos de administración no lo entienden hoy en día y, hasta que lo hagan, esas organizaciones sufrirán una falta de comprensión. ¿Recuerdan lo que hizo Enron con la información financiera? Espero sinceramente que no sea necesario un incidente tipo «ciber-Enron» para que los consejos de administración tomen conciencia. Sin embargo, si no se puede definir el daño, no se conseguirá la aceptación.
¿Qué pasa con la privacidad? Aparte de la «resiliencia empresarial» o la «continuidad» como resultado de la crisis de la COVID-19, la «privacidad» ha dominado últimamente las conversaciones de terceros.
Entre la CCPA
y otros proyectos de ley relacionados, la privacidad impulsará los debates sobre la responsabilidad. Ese es el resultado más esperanzador de cualquier legislación: la responsabilidad. Ese nivel de aplicación debe aumentar el escrutinio y obligar a las empresas a tomárselo más en serio, en lugar de limitarse a «marcar la casilla».
El problema es que las leyes se redactan dentro de las fronteras, pero Internet ha roto las fronteras. ¿Qué ley rige Internet a nivel mundial? No se aplica a las fronteras físicas. Conceptualmente, es diferente a cómo se construyó este país.
¿Cómo sería para usted el programa ideal de gestión de riesgos de terceros? ¿Cuáles son los componentes o elementos adecuados?
En primer lugar, acuda a la empresa y documente lo que es importante para ellos. Determine si sus necesidades están en consonancia con la misión y los objetivos de su empresa. Y lo más importante, considere los consejos de la empresa de forma global. A continuación, enumere las X cosas más importantes, priorícelas y vuelva a la empresa con una serie de riesgos que estén dispuestos a tolerar. Este es el comienzo de la gobernanza.
Una vez definido ese marco de gobernanza, examine a los terceros y compárelos con el riesgo que la empresa ha declarado estar dispuesta a tolerar. A continuación, y aquí viene la parte que suele requerir más trabajo, busque la forma de hacerlo de forma continua. Determine qué información se necesita para ello, si se aplica a todos los terceros y cómo se gestionará a lo largo del tiempo.
Contar con la estructura de gobernanza adecuada, con una transparencia educativa continua, es fundamental para el éxito a largo plazo.
Cuando hablas con otras organizaciones, ¿qué consejos les das? Por dónde empezar, cómo establecer prioridades, etc.
Debes empezar por comprender qué es importante para la empresa, tal y como he comentado en la pregunta anterior. Una vez que sepas qué es importante, y que la comunicación fluya en ambos sentidos entre tú y la empresa, tendrás una base más sólida sobre la que construir y podrás llevar a cabo la debida diligencia y tomar decisiones basadas en el riesgo.
Además, recuerde que no se trata solo de evaluar el riesgo financiero para su empresa, sino que también debe tener en cuenta la privacidad de los datos. Es necesario mantener esas conversaciones al más alto nivel. La decisión y la responsabilidad recaen en la empresa, no en la seguridad. La función de la seguridad no es aceptar riesgos, mi trabajo es realizar la evaluación. Debe educar a la empresa sobre lo que significa el riesgo, examinar los datos, hacer preguntas e informarles para que puedan aceptar un nivel de riesgo adecuado para la empresa.
¿Qué te quita el sueño?
Soy CISO. No he dormido en años 😊. En serio, sin embargo, suelo plantearme si he hecho todo lo que estaba en mi mano para cumplir con mi misión. Por ejemplo, si ocurre algo, ¿puedo acudir a la empresa e informar con confianza sobre lo que ha pasado, cómo ha pasado y qué estamos haciendo al respecto? Hace tiempo que acepté que no hay seguridad laboral como CISO, pero tengo que estar tranquilo conmigo mismo sabiendo que lo he dado todo y que controlo lo que puedo controlar. Ahora bien, esos proveedores míos tan descontrolados son otra historia completamente diferente...
Para obtener más información sobre cómo Prevalent puede ayudarle a abordar sus retos en materia de gestión de derechos de terceros, póngase en contacto con nosotros hoy mismo, descargue nuestra guía de mejores prácticas o realice una rápida evaluación en línea que le ayudará a determinar el nivel de madurez de su programa de TPRM.
Nota de la Redacción: Este artículo se publicó originalmente en Prevalent.net. En octubre de 2024, Mitratech adquirió la empresa de gestión de riesgos de terceros basada en IA, Prevalent. El contenido se ha actualizado desde entonces para incluir información alineada con nuestras ofertas de productos, cambios normativos y cumplimiento.
